Offentlig sektor har ett viktigt ansvar för att upprätthålla sin verksamhet oavsett vad som händer. Dessutom finns krav på att förse medborgare med information under alla omständigheter. Enligt lagar och förordningar inom krisberedskap och informationssäkerhet har kommuner, regioner och myndigheter en rad viktiga uppgifter att uppfylla – i såväl fredstid som under tider av höjd beredskap. Samtidigt har cyberattackerna och hoten mot offentliga verksamheter ökat kraftigt de senaste åren. Det har gjort att behovet av ett ambitiöst säkerhets- och beredskapsarbete är större än någonsin.
Jeanette Lund är expert inom civilt försvar och civil beredskap, med 25 års erfarenhet från bland annat MSB, Säkerhetspolisen och Ekobrottsmyndigheten. På CGI hjälper hon verksamheter främst med beredskapsplanering, men föreläser och utbildar också om säkerhetskultur. Torbjörn Sagen är ansvarig för utveckling av CGI:s säkerhetstjänster och är företagets Service Area Manager för säkerhet. Han har över tjugo års erfarenhet av IT- och säkerhetsområdet, bland annat i roller som säkerhetsskyddschef, men också som säkerhetsansvarig för stora event och festivaler. Vi har diskuterat hur offentliga verksamheter bäst adresserar de allt högre kraven på säkerhet och beredskap.
Offentliga verksamheter måste uppfylla allt fler och högre krav på beredskap och att upprätthålla verksamheten under extraordinära händelser. Hur bör de gå tillväga för att kunna fullgöra kraven på bästa sätt?
– Något som snabbt kan få effekt för offentliga verksamheter är att se över och ställa högre krav på alla externa leverantörer, säger Jeanette Lund. Vissa krav som tidigare ansågs extrema ses idag som helt rimliga. Det kan exempelvis innebära att ställa krav på att en leverantör kan uppfylla sina åtaganden oavsett vad som händer. Men också att leverantörer ska ingå i verksamhetens krishanteringsplan, kunna delta i krisövningar och att leverantören kan säkerställa att deras personal kan utföra sitt arbete under alla förhållanden. Inom vår organisation finns det personal som måste komma till jobbet oavsett vad som händer, eftersom de har viktiga arbetsuppgifter som direkt påverkar medborgarna.
– När det kommer till den digitala sidan av verksamheten är det viktigt att IT-miljön och -tjänsterna är robusta så långt det går, säger Torbjörn Sagen. Kontinuitetsplanering handlar mycket om att skapa och implementera system för att både förebygga och kunna återställa verksamheten i händelse av en kris, avbrott eller driftstopp.Det bör offentliga verksamheter prioritera för sina egna IT-miljöer, men även involvera externa IT-partner. Alla digitala tjänster bör ha tydliga katastrofåterställnings- och kontinuitetsplaner. Det är viktigt att planerna inte bara hamnar i en byrålåda, utan att verksamheten genomför regelbundna revisioner och tester av planerna och beredskapen.
Beredskap är ett stort område som täcker allt från försörjningskedjor till infrastruktur och säkerhet. Hur ska offentliga verksamheter kunna hantera beredskap för samtliga delar av verksamheten?
– Det är viktigt att verksamheter utgår från en prioritering av vad som är viktigast i respektive del av sin verksamhet, säger Jeanette Lund. För att få en bra effekt på det arbetet behöver verksamheter skapa en bred förståelse för varför det är viktigt att planera och vara förberedd, samtidigt som de identifierar risker och sårbarheter. Utbildning och övning är bra metoder för att lära sig och fortsätta förbättra – man ser vad som fungerar i praktiken och uppmuntrar till att verksamheten har ett brett samarbete. Det gör det enklare att fånga alternativa tillvägagångssätt, samt att bygga erfarenhet och säkerhetskultur.
– Att ha en övergripande säkerhetsstrategi som baseras på Zero Trust är viktig för den digitala säkerheten, säger Torbjörn Sagen. Zero Trust går ut på att alla användare, enheter och tjänster måste autentisera sig mot en betrodd, gemensam identitetskälla innan de kan kommunicera eller få tillgång till några digitala resurser. Till varje identifierad användare kopplas också en åtkomstkontroll och auktorisation, så att det på central nivå går att ha kontroll över all kommunikation även i väldigt komplexa och distribuerade miljöer, samt att bara ge tillgång till känsliga data för användare som har den befogenheten.
CGI har många kunder inom offentlig sektor och har därför höga krav på den egna verksamhetens beredskap. Kan ni berätta hur den ser ut?
– Först och främst är det viktigt att framhålla att vi under lång tid har arbetat med att leverera infrastruktur och IT-tjänster till verksamheter som råder under säkerhetslagstiftning, berättar Torbjörn Sagen. I mer än 35 år har vi ansvarat för och drivit både egna och andras datacenter på ett effektivt och säkert sätt. Vi har försett såväl kunder som våra egna medarbetare med kostnadseffektiva, innovativa infrastrukturtjänster som har stöttat och drivit verksamheten framåt. För oss är det självklart att säkerställa, på alla sätt vi kan, att vi erbjuder avancerade tjänster som håller hög kvalitet och säkerhet. Det gör det också enklare för våra kunder att uppfylla kraven de har på sin verksamhet.
– Vi har också medarbetare med erfarenhet av beredskap, försvar, kontinuitetsplanering, utbildning och övningar inom området, säger Jeanette Lund. Vi jobbar alltid nära våra kunder, eftersom vi har ett trettiotal kontor runt om i landet. Det gör att vi har stor förståelse för de krav som ställs på verksamheter inom en rad branscher. Detta i kombination med att vi är globalt representerat och har mängder av experter och kompetens som vi använder både för våra kunder och oss själva. Dessutom har vi jobbat med Nato sedan 1970-talet, vilket givit oss den bästa grunden för att jobba vidare inom beredskapsområdet.
Vill du veta mer?
CGI samarbetar idag med 244 av Sveriges 290 kommuner och har därför en stor förståelse och lång erfarenhet av offentlig sektor. Vill du säkerställa er verksamhets beredskapsförmåga, säkerhet eller att ni uppfyller nya och hårdare lagkrav inom området? Kontakta Jeanette Lund eller Torbjörn Sagen för att diskutera era behov eller utmaningar.
